your privacy is in danger / xpa.exe / worm.win32.netbooster / spyware warning |
||
---|---|---|
#0
| ||
10.06.2008, 13:20
...neu hier
Beiträge: 3 |
||
|
||
10.06.2008, 14:13
Moderator
Beiträge: 5694 |
#2
Hallo
1. wende cleaner an + lösche die termp-Dateien http://www.ccleaner.de/?protecus.de 2. mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Hacken vor folgendem Eintrag: Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2Danach wähle Fix Checked + starte den Rechner neu. 3. wende rvaxo an + poste den report http://virus-protect.org/artikel/tools/rvaxo.html 4. scanne mit smitfraudfix (option 1 und 2 ) http://virus-protect.org/artikel/tools/smitfrautfix.html Gruss Swiss Dieser Beitrag wurde am 10.06.2008 um 14:20 Uhr von Tonstudio editiert.
|
|
|
||
10.06.2008, 14:16
Moderator
Beiträge: 7805 |
#3
Ueberpruefe zusaetzlich diese Dateien bei Virustotal und poste das gesamte Ergebniss
c:\windows\pebgkxwq.exe c:\windows\esrt.exe c:\windows\rnopbfgt.dll c:\windows\xkefqtgs.dll __________ MfG Ralf SEO-Spam Hunter |
|
|
||
10.06.2008, 15:05
...neu hier
Themenstarter Beiträge: 3 |
#4
@tonstudio:
1. done. 2. alle einträge bis auf die nachfolgenden konnten gelöscht werden: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 wird gelöscht, erscheint beim erneuten scannen aber wieder. O21 - SSODL: xkefqtgs - {B8C36660-50AF-4D54-80BD-5E74BB05C90E} - C:\WINDOWS\xkefqtgs.dll wird gar nicht gelöscht. 3. nachdem ich das programm ausführen will, öffnet sich ein installationsbildschirm, der sich nach zwei sekunden aber wieder schließt. 4. option 1: SmitFraudFix v2.323 Scan done at 14:46:26.89, 2008-06-10 Run from C:\Dokumente und Einstellungen\admin2\Desktop\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Apoint\Apoint.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Apoint\Apntex.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE C:\Programme\Symantec\LiveUpdate\AUPDATE.EXE C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\admin2 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\admin2\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\admin2\FAVORI~1 C:\DOKUME~1\admin2\FAVORI~1\Error Cleaner.url FOUND ! C:\DOKUME~1\admin2\FAVORI~1\Privacy Protector.url FOUND ! C:\DOKUME~1\admin2\FAVORI~1\Spyware?Malware Protection.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Desktop C:\DOKUME~1\admin2\Desktop\Error Cleaner.url FOUND ! C:\DOKUME~1\admin2\Desktop\Privacy Protector.url FOUND ! C:\DOKUME~1\admin2\Desktop\Spyware?Malware Protection.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, following keys are not inevitably infected!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri [!] Suspicious: xkefqtgs.dll SSODL: xkefqtgs - {368868E5-7E7F-4A0C-9F56-69E0174F709C} »»»»»»»»»»»»»»»»»»»»»»»» 404Fix !!!Attention, following keys are not inevitably infected!!! 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! »»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Intel(R) PRO/Wireless 2200BG Network Connection - Paketplaner-Miniport DNS Server Search Order: 192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{E95ED1C9-69F2-4F56-A0E3-9842C13CC8E6}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{E95ED1C9-69F2-4F56-A0E3-9842C13CC8E6}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{E95ED1C9-69F2-4F56-A0E3-9842C13CC8E6}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End option 2: SmitFraudFix v2.323 Scan done at 14:49:31.98, 2008-06-10 Run from C:\Dokumente und Einstellungen\admin2\Desktop\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri C:\WINDOWS\xkefqtgs.dll deleted. »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\DOKUME~1\admin2\Desktop\Error Cleaner.url Deleted C:\DOKUME~1\admin2\Desktop\Privacy Protector.url Deleted C:\DOKUME~1\admin2\Desktop\Spyware?Malware Protection.url Deleted C:\DOKUME~1\admin2\FAVORI~1\Error Cleaner.url Deleted C:\DOKUME~1\admin2\FAVORI~1\Privacy Protector.url Deleted C:\DOKUME~1\admin2\FAVORI~1\Spyware?Malware Protection.url Deleted »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Intel(R) PRO/Wireless 2200BG Network Connection - Paketplaner-Miniport DNS Server Search Order: 192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{E95ED1C9-69F2-4F56-A0E3-9842C13CC8E6}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{E95ED1C9-69F2-4F56-A0E3-9842C13CC8E6}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{E95ED1C9-69F2-4F56-A0E3-9842C13CC8E6}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End @raman: nachfolgend die permalinks zu den ergebnissen: c:\windows\pebgkxwq.exe http://www.virustotal.com/de/analisis/46cc2473cdde7fe78f2faa2cc7d18efe c:\windows\esrt.exe http://www.virustotal.com/de/analisis/1b894ee65b1788f6c693dbf8bd195575 c:\windows\rnopbfgt.dll http://www.virustotal.com/de/analisis/f9d5fd902b61cb154ccf62668efcdd92 c:\windows\xkefqtgs.dll 0 bytes size received ach ja und neben der windows-uhr steht in großen lettern: VIRUS ALERT! so auch in der statusleiste, wenn ich eine Datei markiere. unmittelbar hinter der uhrzeit, zu der die datei zuletzt geändert wurde. wenn ihr mir das fixed, dann will ich eure namen, denn mein erstgeborenes wird nach euch benannt. danke. jean [EDIT]nochwas. der taskmanager ist wieder da. behoben sind auch die ganzen alertmeldungen. bisher keine mehr. die laufwerke sind wieder da. aber nach wie vor fehlt mir die systemsteuerung. jean [/EDIT] Dieser Beitrag wurde am 10.06.2008 um 15:14 Uhr von maggod editiert.
|
|
|
||
10.06.2008, 15:18
Moderator
Beiträge: 5694 |
#5
Hallo Maggod
>> Versuche nun noch einmal ein Scan mit Combofix zu machen. Dannach suche das Log mit dem Namen C:\ComboFix.txt http://virus-protect.org/artikel/tools/combofix.html >> scanne mit Counterspy - lasse alles gefundene entfernen + poste den report http://virus-protect.org/counterspy1.html >> scannen + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html Gruss Swiss Dieser Beitrag wurde am 10.06.2008 um 15:50 Uhr von Tonstudio editiert.
|
|
|
||
10.06.2008, 18:34
...neu hier
Themenstarter Beiträge: 3 |
#6
hab meinen rechner mal neugestartet. soweit ich das beurteilen kann, scheint wieder alles normal zu laufen. dennoch nachfolgend die logs zu combofix, counterspy und malwarebytes:
combofix: ComboFix 08-06-09.7 - admin2 2008-06-10 15:20:16.2 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\admin2\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\Dokumente und Einstellungen\admin2\Desktop\Error Cleaner.url C:\Dokumente und Einstellungen\admin2\Desktop\Privacy Protector.url C:\Dokumente und Einstellungen\admin2\Desktop\Spyware&Malware Protection.url C:\Dokumente und Einstellungen\admin2\Favoriten\Error Cleaner.url C:\Dokumente und Einstellungen\admin2\Favoriten\Privacy Protector.url C:\Dokumente und Einstellungen\admin2\Favoriten\Spyware&Malware Protection.url C:\Programme\XP Antivirus C:\Programme\XP Antivirus\xpa.exe C:\WINDOWS\Downloaded Program Files\setup.inf C:\WINDOWS\kvsdpfeaxpf.dll C:\WINDOWS\privacy_danger C:\WINDOWS\privacy_danger\images\capt.gif C:\WINDOWS\privacy_danger\images\danger.jpg C:\WINDOWS\privacy_danger\images\down.gif C:\WINDOWS\privacy_danger\images\spacer.gif C:\WINDOWS\privacy_danger\index.htm C:\WINDOWS\rtsplgob.dll C:\WINDOWS\system32\_000007_.tmp.dll C:\WINDOWS\system32\_000008_.tmp.dll C:\WINDOWS\system32\_000011_.tmp.dll C:\WINDOWS\system32\_000012_.tmp.dll C:\WINDOWS\system32\_000013_.tmp.dll C:\WINDOWS\system32\_000014_.tmp.dll C:\WINDOWS\system32\esymvtdj.dll C:\WINDOWS\system32\jdtvmyse.ini C:\WINDOWS\system32\khfDwwxX.dll C:\WINDOWS\system32\ljJDUMCu.dll C:\WINDOWS\system32\XxwwDfhk.ini C:\WINDOWS\system32\XxwwDfhk.ini2 . ((((((((((((((((((((((( Dateien erstellt von 2008-05-10 bis 2008-06-10 )))))))))))))))))))))))))))))) . 2008-06-10 14:46 . 2008-06-10 14:49 1,996 --a------ C:\WINDOWS\system32\tmp.reg 2008-06-10 14:19 . 2008-06-10 14:19 <DIR> d-------- C:\Programme\CCleaner 2008-06-10 11:47 . 2008-06-10 11:47 <DIR> d-------- C:\Programme\Trend Micro 2008-06-10 11:09 . 2008-06-10 11:35 0 --a------ C:\WINDOWS\system32\ieupdates.exe.tmp 2008-06-10 11:05 . 2008-06-10 03:28 253,952 --a------ C:\WINDOWS\rnopbfgt.dll 2008-06-10 11:05 . 2008-06-10 03:28 163,840 --a------ C:\WINDOWS\pebgkxwq.exe 2008-06-10 11:05 . 2008-06-10 03:28 139,264 --a------ C:\WINDOWS\esrt.exe 2008-06-06 22:17 . 2008-06-06 22:18 <DIR> d-------- C:\Programme\QIP 2008-06-05 15:35 . 2008-06-10 09:04 <DIR> d-------- C:\Dokumente und Einstellungen\admin2\Anwendungsdaten\skypePM 2008-06-05 15:35 . 2008-06-05 15:35 48 --ah----- C:\WINDOWS\system32\ezsidmv.dat 2008-06-02 14:30 . 2008-06-02 15:23 <DIR> d-------- C:\Programme\Skype 2008-06-02 14:30 . 2008-06-02 14:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype 2008-06-02 14:30 . 2008-06-02 14:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-10 13:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-06-10 13:21 --------- d-----w C:\Dokumente und Einstellungen\admin2\Anwendungsdaten\Skype 2008-06-10 13:20 --------- d-----w C:\Programme\Trillian 2008-06-10 09:09 --------- d-----w C:\Dokumente und Einstellungen\admin2\Anwendungsdaten\uTorrent 2008-06-09 13:50 --------- d-----w C:\Programme\LingoPad 2008-06-08 15:42 --------- d-----w C:\Dokumente und Einstellungen\admin2\Anwendungsdaten\dvdcss 2008-05-26 20:41 --------- d-----w C:\Dokumente und Einstellungen\admin2\Anwendungsdaten\AdobeUM 2008-05-20 17:53 3,532 ----a-w C:\drmHeader.bin 2008-05-16 19:14 --------- d-----w C:\Programme\Freecorder 2008-05-10 13:21 --------- d-----w C:\Programme\Virtools Web Player 3.5 2008-05-09 16:15 --------- d-----w C:\Programme\uTorrent 2008-05-09 15:58 --------- d-----w C:\Dokumente und Einstellungen\admin2\Anwendungsdaten\Moyea 2008-05-01 19:49 --------- d-----w C:\Programme\FreePDF_XP 2008-04-24 19:40 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-04-13 22:31 --------- d-----w C:\Dokumente und Einstellungen\admin2\Anwendungsdaten\CoreFTP 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-01-21 12:16 22,920 ----a-w C:\Dokumente und Einstellungen\admin2\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-11-04 12:43 2,293,712 -c--a-w C:\Programme\FLV PlayerFCSetup.exe 2007-11-04 12:40 3,655,488 -c--a-w C:\Programme\FLV PlayerRCATSetup.exe 2007-11-04 12:36 411,248 -c--a-w C:\Programme\FLV PlayerRCSetup.exe . ((((((((((((((((((((((((((((( snapshot@2008-06-10_12.38.30.56 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-10 10:33:59 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-06-10 12:39:05 2,048 --s-a-w C:\WINDOWS\bootstat.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="C:\Programme\Apoint\Apoint.exe" [2004-09-13 17:33 155648] "ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 22:59 115816] "osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2006-09-05 19:22 26248] "Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22 517768] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "WIAWizardMenu"="C:\WINDOWS\system32\sti_ci.dll" [2005-09-04 11:07 137216] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-09-04 11:06 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^admin2^Startmenü^Programme^Autostart^Trillian.lnk] path=C:\Dokumente und Einstellungen\admin2\Startmenü\Programme\Autostart\Trillian.lnk backup=C:\WINDOWS\pss\Trillian.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\39582889343125446128569679305878] C:\Programme\XP Antivirus\xpa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\advap32] C:\DOKUME~1\admin2\LOKALE~1\Temp\printsrv.exe/r [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL] C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\feedreader.exe] --a------ 2007-11-01 11:30 1201664 C:\Programme\FeedReader30\feedreader.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant] --a------ 2007-06-26 20:27 312320 C:\Programme\FreePDF_XP\fpassist.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds] --a------ 2005-02-15 16:02 126976 C:\WINDOWS\system32\hkcmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility] --a------ 2003-11-08 03:01 188416 C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] --a------ 2007-12-20 20:32 3144800 C:\Programme\ICQLite\ICQLite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray] --a------ 2005-02-15 16:02 155648 C:\WINDOWS\system32\igfxtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Personal ID] C:\PROGRA~1\COOLSP~1\PERSON~1\PID.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE] --a--c--- 2008-03-15 01:50 233472 C:\Programme\PowerISO\PWRISOVM.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2006-12-02 22:59 282624 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] --a------ 2007-07-28 12:03 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] -ra------ 2006-03-30 17:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowBlinds] D:\Eigene Dateien\ICQ Lite\193470238\DaViNcI (Ben)_190388323\WBInstall32.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "mysql"=2 (0x2) "Macromedia Licensing Service"=3 (0x3) "gusvc"=3 (0x3) "FileZilla Server"=2 (0x2) "Bonjour Service"=2 (0x2) "Apache2"=2 (0x2) "Adobe LM Service"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\sessmgr.exe"= "C:\\Programme\\uTorrent\\utorrent.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-09-08 15:47] S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [] *Newly Created Service* - COMHOST . Inhalt des "geplante Tasks" Ordners "2008-06-06 18:00:11 C:\WINDOWS\Tasks\Norton Internet Security - Vollständige Systemprüfung ausführen - admin2.job" - C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exel/TASK: . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-10 15:23:40 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-06-10 15:24:59 ComboFix-quarantined-files.txt 2008-06-10 13:24:31 5 Verzeichnis(se), 1,855,094,784 Bytes frei 7 Verzeichnis(se), 1,848,483,840 Bytes frei 202 --- E O F --- 2008-05-27 22:24:54 counterspy: Scan History Details Start Date: 10.06.2008 16:47:30 End Date: 10.06.2008 18:03:14 Total Time: 75 Min 44 Sec Detected security risks KaZaA P2P Program more information... Details: KaZaA is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives. Status: Deleted Registry entries detected HKEY_USERS\S-1-5-21-854245398-1767777339-725345543-1004\SOFTWARE\KAZAA HKEY_USERS\S-1-5-21-854245398-1767777339-725345543-1004\SOFTWARE\KAZAA\LocalContent Bifrost Backdoor more information... Details: Bifrost is an advanced remote administration tool that allows users to remotely control computers that are behind firewalls and routers. Status: Deleted Registry entries detected HKEY_USERS\S-1-5-21-854245398-1767777339-725345543-1004\SOFTWARE\WGET Cookie: Tracking Cookies Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs. Status: Deleted Cookies detected c:\dokumente und einstellungen\admin2\cookies\admin2@atdmt[2].txt c:\dokumente und einstellungen\admin2\cookies\admin2@bs.serving-sys[1].txt c:\dokumente und einstellungen\admin2\cookies\admin2@doubleclick[1].txt c:\dokumente und einstellungen\admin2\cookies\admin2@serving-sys[2].txt malwarebytes: Malwarebytes' Anti-Malware 1.16 Datenbank Version: 845 18:33:16 10.06.2008 mbam-log-6-10-2008 (18-33-10).txt Scan Art: Schnell Scan Objekte gescannt: 36573 Scan Dauer: 4 minute(s), 38 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 8 Infizierte Registrierungswerte: 1 Infizierte Datei Objekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> No action taken. HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> No action taken. HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/popcaploader.dll (Adware.PopCap) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> No action taken. HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken. Infizierte Datei Objekte der Registrierung: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken. C:\WINDOWS\rnopbfgt.dll (Trojan.Zlob) -> No action taken. C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken. C:\WINDOWS\pebgkxwq.exe (Trojan.FakeAlert) -> No action taken. nochmals danke. jean |
|
|
||
10.06.2008, 18:51
Moderator
Beiträge: 5694 |
#7
Lass Malwarebytes noch einmal laufen, aber dann lösche das gefundene. Momentan steht überall --> no action taken.
Siehe hier: Infizierte Dateien: Zitat C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> No action taken.Dann sollte dir am besten Sabina noch ein Script mit den restlichen Daten zum löschen erstellen. Denn das hier muss noch raus: Zitat 2008-06-10 11:09 . 2008-06-10 11:35 0 --a------ C:\WINDOWS\system32\ieupdates.exe.tmpwenn dann alles sauber ist, (nach dem script) arbeite das ab: http://board.protecus.de/t33739.htm Gruss Swiss Dieser Beitrag wurde am 10.06.2008 um 20:58 Uhr von Tonstudio editiert.
|
|
|
||
11.06.2008, 11:16
Ehrenmitglied
Beiträge: 29434 |
#8
maggod
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden PC neustarten ----------- »» Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) ----------- scanne dann noch mal mit malwarebytes und lasse alles entfernen, was noch gefunden wird + poste ein neues Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
- desktop-hintergrund: your privacy is in danger (download privacy protection software now)
- ein programm namens xpa.exe wurde gestartet und lies sich nicht mehr stoppen
- mehrer laufwerke waren plötzlich weg
- die systemsteuerung lies sich nicht mehr öffnen, weder über das startmenü, wo sie gar nicht mehr angezeigt wurde, noch über den explorer
- die netzwerkverbindungen sowie drucker sind aus dem startmenü verschwunden
- permanent kommt eine meldung "windows security alert"
Windows has detected an Internet attackt attempt ... sombody is trying to infect your pc [...]
- der taskmanager sowie die regedit lassen sich nicht öffnen
- eine rotes blinkendes icon in der taskleiste öffnet sich
- eine "spyware warning" öffnet sich
worm.win32.netbooster detected on your machine. this virus is distributed via the Internet [...]
- und dazu permanent ein "system alert" in der taskleiste:
system detected virus activities. these may impact the performance of your computer. please use recommended antispyware
- beim öffnen der regedit kommt die meldung: die bearbeitung der registrierung wurde durch den administrator deaktiviert.
- folgende urls öffnen sich permanent:
system-defender.com/freeware/2/?wmid=6010&mid=MjI6Mzc6MTgxNjM=&lndid=37&p=01
ucleaner.com/main.php?wmid=6010&mid=MjI6Mjo4OQ==&lndid=2
safewebnavigate2008.com/index.php?sid=0&aid=0&said=0&pn=&pid=0
- ja nachdem was für programme geöffnet sind, fangen die fenster in der taskleiste an zu blinken oder das fenster wird gewechselt.
- manchmal öffnet sich auch eine internet explorer fenster und schließt sich umgehend wieder von selbst.
combofix-scanreport:
der scan lässt sichdurchführen, allerdings kommt nach einem neustart die meldung: datei konnte nicht gefunden werden
hijackthis-logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:49, on 2008-06-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: rtsplgob - {0939FF27-A717-4F67-96B5-555F9510F17F} - C:\WINDOWS\rtsplgob.dll (file missing)
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: awayreader.lnk = D:\Eigene Dateien\icq\ICQAwayReader13.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: awayreader.lnk = D:\Eigene Dateien\icq\ICQAwayReader13.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Secret City - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - C:\PROGRA~1\SECRET~1\SECRET~1\SECRET~1.EXE (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} - http://h30155.www3.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1206897376
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/virtools.download.akamai.com/6712/player/install3.5/installer.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: xkefqtgs - {B8C36660-50AF-4D54-80BD-5E74BB05C90E} - C:\WINDOWS\xkefqtgs.dll
O21 - SSODL: rnopbfgt - {06E96E42-E663-4EC1-8D9C-67C02D837BA2} - C:\WINDOWS\rnopbfgt.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
--
End of file - 7793 bytes
uninstall-liste:
µTorrent
1st Page 2000 2.00 Free
AFPL Ghostscript 8.50
AFPL Ghostscript Fonts
ALPS Touch Pad Driver
AppCore
AV
AVI Codec Pack
ccCommon
Core FTP LE 1.3c
Das große Nachschlagewerk
Dell Laser Printer 1100 Software-Deinstallation
FeedReader
FLV Player
FreePDF XP (Remove only)
GMX Toolbar
Google Toolbar for Internet Explorer
HijackThis 2.0.2
ICQ 5.1
Intel(R) Graphics Media Accelerator Driver for Mobile
LingoPad 2.4.3 (Build 319)
LiveUpdate 3.1 (Symantec Corporation)
LiveUpdate Notice (Symantec Corporation)
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Office XP Professional mit FrontPage
Mozilla Firefox (2.0.0.14)
MSRedist
PowerISO
QIP 2005 Uninstall
QuickTime
RedMon - Redirection Port Monitor
WinRAR Archivierer
XAMPP 1.5.4
datfind-logfile:
Volumeseriennummer: 0C66-7BBA
Verzeichnis von C:\WINDOWS\system32
2008-06-10 12:34 2,206 wpa.dbl
2008-06-10 11:46 0 clkcnt.txt
2008-06-10 11:35 0 ieupdates.exe.tmp
2008-06-05 15:35 48 ezsidmv.dat
2008-05-28 00:24 387,178 TZLog.log
2008-04-13 14:48 397,894 perfh009.dat
2008-04-13 14:48 60,114 perfc009.dat
2008-04-13 14:48 411,840 perfh007.dat
2008-04-13 14:48 72,886 perfc007.dat
2008-04-13 14:48 907,998 PerfStringBackup.INI
2008-04-10 04:22 123,728 FNTCACHE.DAT
2008-04-05 22:56 19,836,024 MRT.exe
2008-03-27 11:24 60,416 tzchange.exe
2008-03-25 06:51 187,168 msjint40.dll
2008-03-25 06:51 621,344 mswstr10.dll
2008-03-25 06:50 355,104 msxbde40.dll
2008-03-25 06:50 838,432 mswdat10.dll
2008-03-25 06:50 264,992 mstext40.dll
2008-03-25 06:50 559,904 msrepl40.dll
2008-03-25 06:50 322,336 msrd3x40.dll
2008-03-25 06:50 432,928 msrd2x40.dll
2008-03-25 06:50 355,104 mspbde40.dll
2008-03-25 06:50 219,936 msltus40.dll
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 0C66-7BBA
Verzeichnis von C:\DOKUME~1\admin2\LOKALE~1\Temp
2008-06-10 12:51 100,973 datfind.txt
1 Datei(en) 100,973 Bytes
0 Verzeichnis(se), 1,623,351,296 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 0C66-7BBA
Verzeichnis von C:\WINDOWS
2008-06-10 12:34 227 system.ini
2008-06-10 12:34 156 wiadebug.log
2008-06-10 12:34 0 0.log
2008-06-10 12:34 1,103,446 WindowsUpdate.log
2008-06-10 12:34 50 wiaservc.log
2008-06-10 12:33 2,048 bootstat.dat
2008-06-10 12:32 32,620 SchedLgU.Txt
2008-06-10 12:31 53,248 PSEXESVC.EXE
2008-06-10 12:22 807,017 setupapi.log
2008-06-10 12:07 206,369 setupact.log
2008-06-10 11:36 605 win.ini
2008-06-10 03:28 163,840 pebgkxwq.exe
2008-06-10 03:28 139,264 esrt.exe
2008-06-10 03:28 253,952 rnopbfgt.dll
2008-06-10 03:28 225,280 xkefqtgs.dll
2008-06-02 23:03 95,256 iis6.log
2008-06-02 23:03 214,777 comsetup.log
2008-06-02 23:03 1,891 imsins.log
2008-06-02 23:03 131,198 ntdtcsetup.log
2008-06-02 23:03 35,356 ocmsn.log
2008-06-02 23:03 246,601 tsoc.log
2008-06-02 23:03 326,007 ocgen.log
2008-06-02 23:03 31,726 msgsocm.log
2008-06-02 23:03 613,942 FaxSetup.log
2008-05-28 00:24 1,374 imsins.BAK
2008-05-28 00:24 24,432 KB942763.log
2008-05-17 20:15 14,750 KB950749.log
2008-05-10 15:17 2,768 Freecorder Toolbar Uninstall Log.txt
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 0C66-7BBA
Verzeichnis von C:\WINDOWS\temp
2008-06-10 12:34 409 WGANotify.settings
1 Datei(en) 409 Bytes
0 Verzeichnis(se), 1,623,339,008 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 0C66-7BBA
Verzeichnis von C:\WINDOWS\Downloaded Program Files
2008-02-12 11:28 3,036,680 ImageUploader5.ocx
2008-02-12 11:28 378 ImageUploader5.inf
2008-02-01 04:21 350 MySpaceUploader.inf
2008-02-01 04:17 2,637,440 MySpaceUploader.ocx
13 Datei(en) 10,771,949 Bytes
0 Verzeichnis(se), 1,623,334,912 Bytes frei
ich hoffe mir kann hier geholfen werden. vielen dank schon einmal im voraus
jean